📝 Transcrição do Episódio

(00:02 ) [Música] Sejam todos muito bem-vindos e bem-vindas. Estamos de volta com o Segurança Legal, seu podcast de segurança da informação, direito da tecnologia, tecnologia e sociedade. Eu sou o Guilherme Goulart e aqui comigo está o meu amigo Vinícius Serafim. E aí, Vinícius, tudo bem? E aí, Guilherme, tudo bem? Olá aos nossos ouvintes, olá aos internautas.

(00:27 ) Muito bem, sempre lembrando que para nós é fundamental a participação de todos por meio de perguntas, críticas e sugestões de temas. Para isso, estamos à disposição, como você já sabe, pelo e-mail podcast@segurançalegal.com, YouTube, Mastodon, Bluesky e Instagram.

(00:50 ) Também temos a nossa campanha de financiamento coletivo no Apoia.se, em apoia.se/segurançalegal. No blog da Brownpipe, www.brownpipe.com.br, você consegue ver as notícias mais importantes de segurança e também se inscrever no nosso mailing semanal para receber essas atualizações periodicamente.

(01:13 ) Que semana, hein, Vinícius? Pois é. Uma semana de confusão mental ao redor desse golpe bilionário. Não foi em dólares, foi em reais mesmo. Nem se sabe se foi 1 bilhão, mas já se falou em 400 milhões, já se falou em 3 bilhões. Eu já vi notícias falando de 3 bilhões, 800 bilhões.

(01:40 ) É de todo tipo de valor. Teve bastante coisa nesses últimos dias. O ataque foi divulgado no dia primeiro de julho. Hoje, gravamos no dia 7, uma semana depois. Que ataque! Talvez tenha gente que não saiba do que estamos falando, embora eu ache difícil. Se você ouviu, viu televisão, saiu no Fantástico, Jornal Nacional, em todos os portais de notícias.

(02:11 ) Um ataque divulgado agora no dia primeiro de julho de desvios milionários ou talvez bilionários de contas de clientes de uma empresa chamada CM. A gente vai falar um pouco depois sobre os papéis de cada um no sistema financeiro, no sistema de pagamentos brasileiro e também no sistema Pix. Mas ela é um provedor de serviços de tecnologia da informação que conecta instituições financeiras aos serviços e à rede do Banco Central e também intermedeia uma série de serviços para empresas.

(02:47 ) Que não querem se conectar diretamente com a rede do Banco Central, elas utilizam serviços de intermediação. Então, o que se sabe até agora é que foi realizado o desvio de valores de clientes da CM. A CM não é a dona do dinheiro, ela só faz a intermediação.

(03:12 ) Então, quem sofreu o golpe e quem sofreu financeiramente, pelo menos diretamente, foram os bancos. Os valores maiores teriam saído do banco BMP, que é um dos clientes da CM. No primeiro momento, ficou-se especulando como eles teriam tido acesso à infraestrutura da CM, uma empresa autorizada pelo Banco Central para fazer esse serviço de intermediação.

(03:38 ) Mas logo depois descobriu-se que um funcionário teria sido aliciado e vendido as suas credenciais. Por quantos milhões, Vinícius? R$ 15.000. R$ 15.000. Não só as credenciais, mas a cooperação ativa, pelo que a gente viu nas notícias, ao longo dos meses que antecederam essa operação, que foi agora no início do mês passado. Foi em junho a operação.

(04:09 ) 30 de junho começou, na virada para julho. Então, ele ficou alguns meses nesse processo e não foi “recebeu 15.000 e entregou as credenciais”. Ele cooperou estando dentro. E isso acho que foi um pouco desconsiderado pela mídia, a ideia de “somente as credenciais”.

(04:34 ) Não, não foi somente as credenciais, porque ele teria sido aliciado ainda em março deste ano. Ele era um funcionário de 48 anos, foi eletricista predial, técnico de instalação de TV a cabo, entra na faculdade de tecnologia aos 42 e, pelo que eu li, trabalhava há 3 anos na CM. Em maio, veja, ele é aliciado em março.

(04:58 ) Nesse período, ele recebeu valores por motoboy, tinha um protocolo de descartar celulares depois que se comunicava com os criminosos. Trocava de celular a cada 15 dias. Mas o que a gente leu até agora é que desde maio ele teria começado a inserir comandos maliciosos no ambiente da CM. Diga. Eu ia dizer o seguinte, que quando a gente fala “inserir comandos maliciosos”, não é que ele estaria inserindo necessariamente operações a serem executadas, mas eu diria que ele estava recebendo comandos do pessoal que o contratou.

(05:35 ) O que se faria? Pensando como quem faz pen test, nós não chegamos a fazer esse tipo de